Benutzer-Werkzeuge
kerberos
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |||
|
kerberos [2025/04/02 11:06] jango [CLI] |
kerberos [2025/04/06 11:07] (aktuell) jango [Links] |
||
|---|---|---|---|
| Zeile 84: | Zeile 84: | ||
| Sitzung 0 0:0x136c4 \ NTLM:(0) | Sitzung 0 0:0x136c4 \ NTLM:(0) | ||
| </ | </ | ||
| + | |||
| + | =====Sicherheit===== | ||
| + | |||
| + | ====Krbtgt==== | ||
| + | |||
| + | In jeder [[Active Directory]] Domäne gibt es ein spezielles, verstecktes Benutzerkonto namens krbtgt. Dieses Konto hat kein Login, aber es besitzt ein Passwort (genau wie jedes andere Konto). Aus diesem Passwort wird ein geheimer Schlüssel erzeugt: der KRBTGT-Key. Dieser Schlüssel wird von den Domänencontrollern verwendet, um: | ||
| + | |||
| + | * Ticket Granting Tickets (TGTs) zu signieren. | ||
| + | * Die Gültigkeit eingehender TGTs zu prüfen. | ||
| + | |||
| + | Ohne diesen Key funktioniert Kerberos in der Domäne nicht mehr. | ||
| + | |||
| + | ====Angriffsmöglichkeiten==== | ||
| + | |||
| + | * Pass-the-Ticket (PtT): Angreifer stiehlt ein gültiges Ticket Granting Ticket (TGT) oder Service Ticket (TGS) aus dem Speicher. Das Ticket kann auf einem anderen System wiederverwendet werden (z. B. mit Mimikatz oder Rubeus), solange es gültig ist. | ||
| + | * Overpass-the-Hash (Pass-the-Key): | ||
| + | * Ticket Forging (Golden Ticket / Silver Ticket): Wenn Angreifer den KRBTGT-Key eines DC bekommt, kann er beliebige TGTs (Golden Ticket) oder TGS (Silver Ticket) ausstellen. | ||
| + | |||
| =====Links===== | =====Links===== | ||
kerberos.1743584815.txt.gz · Zuletzt geändert: 2025/04/02 11:06 von jango
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
